Стратегия глубокоэшелонированной защиты в Microsoft Azure
В современном мире безопасность является ключевым фактором, определяющим перспективы роста организации. Компания с мощной системой безопасности обязана завоевать доверие и удовлетворение клиентов. Наоборот, компания, недостаточно инвестирующая в системы безопасности, может разочаровать клиентов и ухудшить положение своей основной клиентуры. У Microsoft Azure есть множество планов и стратегий, позволяющих клиентам защищать информацию и аутентифицировать доступ. Стратегия, которая будет обсуждаться здесь, — это стратегия глубокоэшелонированной защиты. Это может быть очень полезно для студентов или работающих специалистов, желающих пройти сертификацию по основам Azure (AZ-900).
Модель нулевого доверия
Модель нулевого доверия — это стратегия, которая устраняет идею доверия к сетевой структуре организации. Это снижает риск утечки данных за счет проверки подлинности на каждом этапе. Zero Trust был создан Джоном Киндервагом для Forrester Research на основе осознания того, что традиционные модели безопасности работают на предположении, что все внутри сетевой архитектуры организации заслуживает доверия. Модель нулевого доверия предполагает, что каждый человек, независимо от его/ее организации, представляет собой потенциальную угрозу безопасности, если он/она не может проверить и доказать обратное. Доверие не считается само собой разумеющимся на основе периметра организации. Это означает, что традиционная сетевая модель «замок и ров», которая запрещала внешний доступ к данным, была преобразована в устойчивую модель, предоставляющую шлюз сегментации, разрешающий доступ только с проверкой подлинности, независимо от того, находится ли клиент внутри организации или нет. Этот шлюз достиг этого, создав мобильный микропериметр, который защищал «поверхность защиты» (конфиденциальные данные, активы, приложения и службы). Таким образом, модель нулевого доверия прокладывает путь к многоуровневой системе безопасности, позволяющей проводить проверку на каждом этапе во избежание утечки данных.
Что такое Глубокоэшелонированная защита?
Глубокая защита — это стратегия безопасности, которая предотвращает утечку данных и замедляет попытки доступа к данным без проверки подлинности за счет развертывания интенсивной среды с 7 уровнями защиты и проверки. Как сказал директор по безопасности Devolutions Мартин Лемей, «как и луковица, злоумышленнику придется очистить путь к сердцу». Это означает, что даже если один уровень системы безопасности будет скомпрометирован, будет 6 других линий защиты.
Microsoft развертывает стратегию «Глубокая защита» как в своих локальных центрах обработки данных, так и в облачных службах Azure. Принципы, которые помогают определить состояние безопасности, — это конфиденциальность , целостность и доступность .
- Конфиденциальность . Этот столп гарантирует, что доступ к «защитной поверхности» может быть получен только теми, кто получил прямое/выраженное разрешение.
- Целостность . Уникальный отпечаток данных создается с помощью алгоритма одностороннего хэширования. Затем получателю отправляется хэш. Целью целостности является сохранение данных на протяжении всей передачи. Следовательно, после того, как получатель получит хэш, он может пересчитать исходное значение хэша и сравнить значения для определения согласованности данных.
- Доступность . Данные должны быть доступны только аутентичным пользователям. Подлинным пользователям не должно быть отказано в доступе. Это происходит при DDOS или распределенной атаке типа «отказ в обслуживании», при которой даже добросовестным пользователям отказывают в доступе.
Слои глубокоэшелонированной защиты
Безопасность в стратегии глубокоэшелонированной защиты многоуровневая. «Защитная поверхность» хранится в ядре этого устройства. Такой подход устраняет зависимость только от одного уровня безопасности. Говорят, что каждый уровень обозначает отдельный принцип безопасности.
| С Нет | Слой | Применение | Принцип |
|---|---|---|---|
| 1 | Данные | Шифрование данных в хранилище BLOB-объектов Azure | Честность |
| 2 | Заявление | SSL/TLS-шифрование | Честность |
| 3 | Вычислить | Регулярное применение патчей ОС и многоуровневого программного обеспечения | Доступность |
| 4 | Сеть | Правила сетевой безопасности | Конфиденциальность |
| 5 | Периметр | Распределенный отказ в обслуживании | Доступность |
| 6 | Личность и доступ | Проверка подлинности пользователя Azure Active Directory | Честность |
| 7 | Физическая охрана | Биометрические средства управления доступом к центру обработки данных Azure | Конфиденциальность |
1. Физическая безопасность
Это самая внешняя оболочка безопасности, которая регулирует физический доступ к инфраструктуре облака/центра обработки данных. Microsoft Azure придерживается хорошо организованного конвейера безопасности с центрами обработки данных, распределенными по всему миру. Он использует многоуровневый подход, чтобы снизить любые риски физического проникновения в данные клиентов. Только уполномоченный персонал с законными причинами (аудит, соответствие и т. д.) и официальной идентификацией получает разрешение на вход на объект. Разрешения выдаются только для фиксированного портала, после чего они истекают и должен быть выдан новый порядок разрешения. По периметру дата-центра ведется надежное видеонаблюдение. Посещающий персонал должен добраться до заранее определенной точки доступа, чтобы иметь право на вход. Вооруженные и тщательно обученные сотрудники службы безопасности размещены на каждой точке доступа для проверки биографических данных посетителя. Прохождение двухфакторной аутентификации с помощью биометрии является обязательным для предоставления посетителю доступа только к той части ЦОД, на которую он имеет право. Перед тем, как посетитель сможет посетить специально отведенный этаж, оснащенный видеокамерами, проводится полное сканирование тела на металлоискатель. Все эти меры безопасности предназначены для обеспечения защиты данных от доступа без проверки подлинности.
2. Личность и доступ
Это второй уровень стратегии глубокоэшелонированной защиты Azure. Данные, приложения и программное обеспечение на входе защищены с помощью решений Azure для управления идентификацией и доступом. Этот уровень гарантирует, что аутентичным пользователям предоставляется доступ только к тому, что необходимо, а попытки входа/входа сохраняются и проверяются. Это используется для защиты от злонамеренных попыток входа и для защиты учетных данных с помощью элементов управления доступом на основе рисков. Многофакторная проверка подлинности, единый вход и аудит событий являются динамическими функциями этого уровня.
Активный каталог Azure обрабатывает одну из важнейших частей управления этим количеством пользователей. Такая служба, как управление привилегированной идентификацией Azure, может использоваться для ограничения или предоставления доступа к различным ресурсам в экосистеме Azure и т. д.
3. Периметр
Периметр — это 3-й уровень стратегии глубокоэшелонированной защиты. Периметр используется для защиты данных от крупномасштабных сетевых атак. Иногда ее называют демилитаризованной зоной. Периметр отвечает за выявление сетевых угроз/атак, оповещение клиентов о вероятном взломе и устранение рисков/угроз. Защита от DDoS (распределенный отказ в обслуживании) используется для фильтрации крупномасштабных атак. Брандмауэры ставятся по периметру для обнаружения вредоносной активности. Они гарантируют, что в сеть направляется только желаемый трафик.
4. Сеть
Это 4-й слой стратегии. Это нацелено на ограничение сетевого подключения для всех ресурсов, чтобы разрешить только то, что требуется. Этот уровень стремится ограничить связь между ресурсами, чтобы предотвратить передачу вредоносных программ. Входящий и исходящий доступ ограничен/ограничен, а посетители по умолчанию запрещены. Виртуальные сети Azure также обеспечивают сетевую изоляцию и элементы управления безопасностью, которые можно использовать в локальных сетях.
5.) Вычислить
Вычисления — это пятый уровень стратегии глубокоэшелонированной защиты. Этот уровень гарантирует, что все вычислительные ресурсы защищены и что пользователь имеет полный контроль, чтобы свести к минимуму проблемы безопасности. Azure также предоставляет своим пользователям услугу конфиденциальных вычислений. Это предоставляет множество инструментов, служб и приложений, которые пользователь может использовать в виртуализированной среде. Это предотвращает несанкционированный доступ, соблюдение нормативных требований и ненадежное сотрудничество путем слепой обработки.
6.) Приложения
Шестой уровень стратегии глубокоэшелонированной защиты направлен на снижение рисков и уязвимостей, связанных с жизненным циклом разработки приложения. Это также направлено на обязательную интеграцию функций безопасности с разработкой приложений. Конфиденциальная информация, используемая или полученная от приложений, должна храниться в защищенной конечной точке хранилища.
7. Данные
Это самый внутренний слой стратегии. Злоумышленники создают угрозы для данных, хранящихся в базах данных, дисков внутри виртуальных машин, приложений «программное обеспечение как услуга» и данных, которыми можно управлять через облако Azure. Персонал, хранящий данные и контролирующий доступ к ним, несет ответственность за обеспечение их надлежащей защиты. Нормативные требования регулируют процессы, которые должны быть заказаны для обеспечения конфиденциальности, целостности и доступности данных.
Использованная литература:
- https://docs.microsoft.com/en-us/learn/modules/secure-network-connectivity-azure/2-what-is-defense-in-depth
- https://blog.devolutions.net/2019/02/the-basics-of-zero-trust-architecture-8-best-practices